OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性

OpenSSLのc_rehashスクリプトにコマンドインジェクションの脆弱性

  • マイナビニュース
  • 更新日:2022/06/23
No image

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月22日、「JVNVU#92867820: OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性」において、OpenSSLに脆弱性が報告されていることを伝えた。この脆弱性を悪用されると、攻撃者によって標的のシステム上で任意のコマンドを実行される危険性がある。

Apache HTTP Server 2.4に脆弱性、アップデートを

該当する脆弱性はCVE-2022-1292として追跡されており、詳細はOpenSSLプロジェクトからの次のセキュリティアドバイザリにまとめられている。

[OpenSSL Security Advisory 21 June 2022

c_rehashスクリプトは、OpenSSLに付属する、ディレクトリ内のすべてのファイルをスキャンするPerlスクリプトである。このc_rehashスクリプトに、シェルのメタ文字を適切にサニタイズしていない問題が含まれていたという。c_rehashスクリプトは一部のOSでは自動的に実行されるようになっているため、これを攻撃者に悪用されると、任意のコマンドをc_rehashスクリプトの権限で実行される危険性があるという。

CVE-2022-1292の影響を受けるOpenSSLのバージョンは次のとおり。

OpenSSL 3.0.4より前のバージョン
OpenSSL 1.1.1pより前のバージョン
OpenSSL 1.0.2zfより前のバージョン

なお、OpenSSL 1.1.0についてはすでにサポートが終了しているため、この脆弱性に関する評価は実施されていない。

OpenSSLを次のバージョンにアップデートすることでCVE-2022-1292の影響を回避することができる。

OpenSSL 3.0.4
OpenSSL 1.1.1p
OpenSSL 1.0.2zf(プレミアムサポートを契約したユーザーのみ利用可能)

OpenSSLプロジェクトでは、OpenSSL 1.0.2プレミアムサポートを契約したユーザー以外に対しては、OpenSSL 3.0系もしくは1.1.1系にアップデートすることを推奨している。また、アドバイザリによれば、c_rehashスクリプトはすでに時代遅れの機能であるため、もし使用している場合はrehashコマンドラインツールに置き換えるように警告している。

後藤大地

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加